KOFA 2023/293: Avvisning, persondata og ansvarsbegrensning

Saken gjelder:

Avvisning av tilbud

Vygruppen AS gjennomførte en anskaffelse av driftsavtale for IT-tjenester. Klager anførte at tilbudet inneholdt to avvik som hver for seg eller samlet må regnes som vesentlige, og at innklagede derfor hadde plikt til å avvise tilbudet. Klagenemnda konkluderte med at innklagede ikke hadde brutt regelverket. Klagenemnda delte seg i et flertall og et mindretall knyttet til en av anførslene om vesentlig avvik. Klagenemndas avgjørelse 14. september 2023 i sak 2023/293 Klager:

Tietoevry Norway AS

Innklaget:

Vygruppen AS

Klagenemndas medlemmer:

Tarjei Bekkedal, Hallgrim Fagervold og Sverre Nyhus

Bakgrunn:

Vygruppen AS (heretter innklagede) publiserte 5. februar 2022 en forhåndskunngjøring om konkurranse med forhandling om anskaffelse av driftsavtale for IT-tjenester. Kontraktens varighet var fem år med opsjoner for forlengelse i ytterligere fem år.

Frist for å melde interesse var 1. april 2022, og frist for kvalifikasjonssøknad var 29. april 2022. Syv leverandører leverte kvalifikasjonssøknad, herunder Tietoevry (heretter klager) og HCL (heretter valgte leverandør). Seks leverandører ble invitert til konkurransen. Første tilbudsfrist var 16. juni 2022.

I konkurransegrunnlaget punkt 2.2 var «Purpose and scope of the contract» beskrevet. Formålet med kontrakten var «to provide operational IT services» til Vy-gruppen i Norge og Sverige. Punktet inneholdt en grafisk oversikt over hvilke oppgaver som var omfattet av kontrakten, der grønne bokser betød «in scope», blå betød «related areas», og grå betød «not in scope»:

Kontrakten var basert på SSA-D (Statens standardavtale – Driftstjenester). I hovedavtalen til SSA-D punkt 9.3 om personopplysninger, står det: «Dersom oppdraget går ut på å behandle personopplysninger på vegne av Kunden, plikter Kunden og Leverandøren å inngå en databehandleravtale i samsvar med personopplysningslovgivningen. […] Dersom partene har inngått en databehandleravtale, har databehandleravtalen forrang ved eventuell motstrid med avtalens bestemmelser knyttet til behandling av personopplysninger.»

Videre i punkt 9.3 står det følgende om erstatningsansvar: «Partenes erstatningsansvar for skade som rammer den registrerte eller andre fysiske personer og som skyldes overtredelse av personvernforordningen (forordning 2016/679), personopplysningsloven med forskrifter eller annet regelverk som gjennomfører personvernforordningen, følger bestemmelsene i personvernforordningen artikkel 82. Erstatningsbegrensningen i punkt 11.5.6 kommer ikke til anvendelse for ansvar som følger av personvernforordningen artikkel 82.»

Kapittel 11 i SSA-D omhandler sanksjoner ved leverandørens mislighold, der punkt 11.5.6 gjelder ansvarsbegrensning. Etter denne bestemmelsen gjelder det blant annet en begrensning for indirekte tap, samt at samlet erstatningsbeløp i avtaleperioden ikke kan overstige kontraktssummen ekskl. mva.

I den første versjonen av konkurransegrunnlaget, var det stilt kvalifikasjonskrav om signering av databehandleravtale. Etter spørsmål fra klager om behov for levering av databehandleravtale i kvalifikasjonsfasen, opplyste innklagede at kravet ble frafalt. Som svar på et annet spørsmål svarte innklagede at databehandleravtalen skulle leveres signert i tilbudsfasen på forespørsel fra innklagede.

I konkurransegrunnlaget var databehandleravtalen inntatt som ett av dokumentene som ville utgjøre kontrakten. Databehandleravtalen punkt 3 gjaldt «General obligations of the Processor», og sa blant annet at databehandleren bare kunne behandle personopplysninger spesifisert i hovedavtalen og databehandleravtalen med dens vedlegg.

Det første vedlegget til databehandleravtalen ga detaljer om behandlingen av personopplysninger, herunder behandlingsformål, kategorier personopplysninger, og mer detaljerte instruksjoner for hvordan databehandleren skulle behandle personopplysninger. Det andre vedlegget var en liste over underleverandører godkjent av innklagede.

(10) Som del av konkurransegrunnlaget var «Annex 01E – Information Security and Data Protection». Innledningsvis sto det: «This Annex 01E “Information Security and Data Protection” sets out the requirements to the Contractor with respect to the Contractor’s Informasjon Security Management System (ISMS), Information Security Management (ISM), Infrastructure security and Data Protection program.»

(11) Den 12. mai 2022 sendte innklagede en påminnelse til leverandørene, der det sto at ved behandling av personopplysninger utenfor EU/EØS, var det stilt særlige krav i

kontraktsdokumentene, herunder krav om personvernkonsekvensvurdering («DPIA») og «Transfer Impact Assessment» («TIA»).

(12) Ved innlevering av det første tilbudet den 16. juni 2022, leverte valgte leverandør en signert versjon av databehandleravtalen med vedlegg som en del av tilbudet. Valgte leverandør hadde ikke tatt eksplisitte forbehold mot databehandleravtalen. I selve databehandleravtalen, hadde valgte leverandør flere steder skrevet «HCL will not be processing any personal data».

(13) Forbehold skulle inntas i et eget vedlegg kalt «The Contractors reservations». Valgte leverandør hadde i dette dokumentet ikke inntatt forbehold knyttet til behandlingen av personopplysninger. Det var imidlertid tatt inn forbehold om å få legge til et nytt punkt 11.5.7 i SSA-D, med følgende ordlyd: «The Contractor’s aggregate and cumulative liability for any and all losses arising from article 82 of the General Data Protection Act, is limited to 100 million NOK (“Separate Cap”).»

(14) Som kommentar til forbeholdet, skrev valgte leverandør: «Cost Impact - No Impact. Since Contractor is not processing any personal data and is leveraging Customer's Data Center and server locations within Norway; the probability of data breach from Contractor is Zero. Either way, Contractor will ensure regular maintenance, reporting and review of Data processor agreements and will ensure a system of process & data checks, together with Customer»

(15) I tilbudets «Annex 02H – Contractor’s Organization and Delivery Model», punkt 4.3.3 om «Personal Data Protection», skrev valgte leverandør blant annet: «Although HCL does not store or process any personal data, in special cases when there would be a requirement, the processing of personal data would take place only in Norway (VY Locations) only, and not at HCL’s Poland Delivery Centre and India Delivery Centre. HCL will fulfill all regulatory and compliance requirements and obligations when processing data outside of Norway and Sweden».

(16) I samme avsnitt fulgte også: «HCL will utilize SCCs with adequate safeguards when processing personal data. Access to systems/ applications holding personal data will be controlled by VY».

(17) I neste avsnitt var det inntatt følgende: «As part of its current scope of services, HCL will not be transferring any data to India or Poland. All data will continue to reside in VY (or its partner provided) data centres and HCL will access all data strictly via a VDI set-up».

(18) Under samme punkt sto det også: «HCL has security measures (both organizational and technical) in place at an engagement level to protect personal and sensitive data processed on behalf of the customer. HCL will also leverage VY’s existing data protection controls and will propose new controls in line with the data protection and privacy

principles, industry best practices and region-specific regulatory requirements like General Data Protection Regulations (GDPR) and Data Protection Act (DPA). Such controls will ensure VY’s data is fully protected at an engagement level and all relevant requirements of privacy and data protection legislation are met. HCL has been successfully providing GDPR related services to various European clients since the year GDPR came into existence».

(19) I forhandlingsrundene ba innklagede valgte leverandør om å revidere forbeholdet om nytt punkt 11.5.7 i SSA-D.

(20) Valgte leverandør opprettholdt forbeholdet, men økte ansvarsbegrensningen til 150 millioner kroner. Forbeholdet var begrunnet som følger: «Since HCL is not moving any data out of Norway/EU nor directly processing any personal data, we would like to retain a cap».

(21) Innklagede aksepterte forbeholdet, men kommenterte at det ville anses som en risiko ved tilbudet: «Accepted by Vy, but Vy will consider a risk in the final evaluation».

(22) Frist for endelig tilbud var 21. september 2022, og begge leverandørene leverte tilbud innen fristen.

(23) Valgte leverandør ble tildelt kontrakt 27. september 2022.

(24) Klager fremmet klage på tildelingsbeslutningen 17. oktober 2022. Klagen ble ikke tatt til følge.

(25) På bakgrunn av opplysninger i klagen, tok innklagede 19. oktober 2022 kontakt med valgte leverandør for å avklare forhold ved deres tilbud: «Following our review of your final bid dated September 21st. Vygruppen needs to request a clarification from you pursuant to Section 19-5 of the Utilities Regulation: In Appendix 1 to you the data processing agreements, you have repeatedly stated that "HCL will not be processing any personal data". However, you have also signed Vy's data processing agreement, and noted, in Annexc 02H, that "HCL will fulfil all regulatory and compliance requirements and obligations when processing data outside of Norway and Sweden". Against this background, our understanding is that you will comply with any applicable requirements under the GDPR /the Norwegian Data Protection Act if or when you process personal data under the contract, and that your assumption that "HCL will not be processing any personal data" shall not be interpreted as a reservation to any obligations to which you may be subject pursuant to the GDPR or the Norwegian Data Protection Act. Please confirm that our understanding is correct».

(26) Valgte leverandør svarte:

«Vy's understanding is correct and we confirm it. HCL will comply with any applicable requirements under GDPR, Norwegian data protection Act and also, we will follow Vy's internal controls, policies on data protection if or when we process personal data under the contract. We will follow all controls, policies of Vy, and test, monitor during our day-to-day operations to ensure we are fully compliant all the time. Our statement that "HCL will not be processing any personal data" should not be interpreted as a reservation of any kind to any obligations to which we will be subject to pursuant to the GDPR or the Norwegian Data Protection Act or Vy's internal controls and policies.»

(27) Kontrakt med valgte leverandør ble inngått 2. november 2022.

(28) Klagen ble brakt inn for Klagenemnda for offentlige anskaffelser 28. april 2023.

(29) Nemndsmøte i saken ble avholdt 14. august 2023. Anførsler: Klager har i det vesentlige anført:

(30) Innklagede har brutt forsyningsforskriften § 20-8 (1) b, ved ikke å avvise valgte leverandørs tilbud. Tilbudet inneholdt to avvik som hver for seg eller samlet må regnes som vesentlige, og innklagede hadde derfor plikt til å avvise tilbudet.

(31) Tilbudet fra valgte leverandør inneholdt for det første en forutsetning om at valgte leverandør ikke skulle behandle persondata under kontrakten. Valgte leverandør har flere steder i sitt tilbud skrevet at det ikke skal behandles persondata under kontrakten. Dette må forstås som et forbehold mot den sentrale ytelsen i kontraktsforholdet, som er å drifte et system hvor persondata håndteres. I tillegg til å utgjøre et vesentlig avvik, medfører forutsetningen at innklagede hadde plikt til å avvise tilbudet etter forsyningsforskriften § 20-8 (1) a, da tilbudet ikke kan anses bindende.

(32) Avklaringen av dette forbeholdet innebar en forbedring av tilbudet, og ble gjennomført etter kontraktstildeling og på en ulovlig måte. Avklaringen var ulovlig.

(33) For det annet tok valgte leverandør et eksplisitt forbehold ved å reservere seg mot erstatningsansvar over 150 millioner kroner, ved brudd på personvernlovgivningen overfor tredjepersoner. Dette er en risikoforskyvning av den juridiske og økonomiske ansvarsfordelingen i kontrakten, og er konkurransevridende. Innklagede har i det vesentlige anført:

(34) Valgte leverandørs tilbud inneholdt ikke avvik som krevde at tilbudet måtte avvises, og tildelingen var korrekt.

(35) Forutsetningen i valgte leverandørs databehandleravtale om at valgte leverandør ikke skulle behandle personopplysninger, sto i strid med øvrige opplysninger i tilbudet. Avklaring av motstriden var lovlig.

(36) Forbeholdet om ansvarsbegrensning utgjorde ikke et vesentlig avvik.

Klagenemndas vurdering:

(37) Klager har deltatt i konkurransen, og har saklig klageinteresse, jf. forskrift om klagenemnd for offentlige anskaffelser § 6. Klagen er rettidig. Konkurransen gjelder kontrakt om IT-relaterte driftstjenester, som er en tjenesteanskaffelse. Det er ikke estimert noen verdi på anskaffelsen, men valgte leverandørs tilbud var på om lag 460 millioner kroner. I tillegg til lov om offentlige anskaffelser 17. juni 2016 nr. 73 følger anskaffelsen forskrift om innkjøpsregler i forsyningssektoren 12. august 2016 nr. 975 del I og II, jf. forsyningsforskriften § 1-6 og §§ 5-1 og 5-2.

(38) Klager har anført at valgte leverandørs tilbud skulle vært avvist grunnet to avvik fra anskaffelsesdokumentene, som hver for seg eller samlet utgjør et vesentlig avvik.

(39) Oppdragsgiver skal etter forsyningsforskriften § 20-8 (1) bokstav b, avvise et tilbud som inneholder vesentlige avvik fra anskaffelsesdokumentene. Et «avvik» foreligger blant annet der oppdragsgiver ikke kan kreve oppfyllelse av krav i anskaffelsesdokumentene dersom tilbudet aksepteres, se blant annet lagmannsrettens kjennelse i sak LB-201985112. Hvorvidt det foreligger et avvik, beror på en tolkning av det aktuelle tilbudet, sett opp mot konkurransegrunnlaget.

(40) Klager har for det første anført at valgte leverandør har tatt forbehold mot å behandle persondata, og at dette utgjør et vesentlig avvik. Klager har i den anledning vist til at det flere steder i både databehandleravtalen og reservasjonsdokumentet er inntatt at «HCL will not be processing any personal data» og lignende uttalelser.

(41) Innklagede har på sin side anført at disse uttalelsene står i motstrid til andre opplysninger i tilbudet, og at uttalelsene ikke kan tolkes som et forbehold mot å behandle personopplysninger. Man valgte derfor å avklare forholdet med valgte leverandør, som bekreftet at man forpliktet seg til å behandle personopplysninger.

(42) Spørsmålet for klagenemnda er dermed om dette var noe innklagede hadde adgang til å avklare, eller om det forelå et vesentlig avvik med plikt for innklagede til å avvise tilbudet.

(43) Avklaringsadgangen er regulert i forsyningsforskriften § 19-5. Det følger av første ledd at oppdragsgiver kan be leverandørene ettersende, supplere, avklare eller utfylle mottatte opplysninger og dokumentasjon dersom opplysningene eller dokumentasjonen synes å inneholde feil eller uklarheter eller dersom bestemte opplysninger eller dokumenter mangler. Etter annet ledd følger det at en ettersending, supplering, avklaring eller utfylling ikke skal medføre at tilbudet «forbedres».

(44) Forsyningsforskriften § 19-5 gjennomfører artikkel 76 fjerde ledd i EUs forsyningsdirektiv (2014/25/EU), og skal forstås på samme måte som artikkel 56 tredje ledd i anskaffelsesdirektivet (2014/24/EU). Etter disse bestemmelsene følger det at en ettersending eller avklaring må skje i overensstemmelse med prinsippene om likebehandling og gjennomsiktighet.

(45) I EU-domstolens avgjørelse i sak C-387/14 (Esaprojekt), gir EU-domstolen uttrykk for at prinsippene om likebehandling og gjennomsiktighet ikke er til hinder for «at oplysningerne vedrørende tilbuddet i enkelttilfælde kan berigtiges eller suppleres, bl.a. fordi de åbenlyst blot kræver en præcisering eller for at bringe åbenlyse indholdsmæssige fejl til ophør». Det ble videre presisert i premiss 39 og 40 at det da påhviler oppdragsgiver

å sikre at supplerende opplysninger ikke fører til at «tilbudsgiver i virkeligheden fremsætter et nyt tilbud» eller at anmodningen «kan fremstå som uberettiget at have begunstiget eller forskelsbehandlet den eller de ansøgerne, som har været genstand for denne anmodning».

(46) Nemnda vil ta stilling til om innklagede hadde adgang til å foreta en avklaring og om den eventuelt ble gjennomført i tråd med prinsippene om likebehandling og gjennomsiktighet.

(47) Klager har for det første anført at det forelå et grunnleggende avvik ved tilbudet og ingen feil eller uklarheter som det var adgang til å avklare.

(48) Klagenemnda er ikke enig i det. Innledningsvis viser nemnda at behandling av persondata var integrert i den ytelsen leverandøren skulle levere, noe partene synes enige om. Det skal for øvrig svært lite til før en aktivitet er omfattet av begrepet «behandling av personopplysninger», og tilnærmet all befatning en virksomhet har med personopplysninger, vil omfattes av begrepet «behandling», jf. Åste Marie Bergseng Skullerud mfl., Personvernforordningen. Lovkommentar, Artikkel 4. Definisjoner, Juridika. Det har da etter nemndas syn i utgangspunktet formodningen mot seg at en leverandør reserverer seg mot en så sentral del av ytelsen.

(49) Slik nemnda forstår personvernlovgivningen, har valgte leverandør som databehandler også et selvstendig lovpålagt ansvar for å etterleve og oppfylle personvernforordningen. En databehandler kan også komme i ansvar uavhengig av om innklagede som behandlingsansvarlig, og valgte leverandør som databehandler, har inngått slik avtale de etter forordningens artikkel 28 nr. 3 har plikt til, jf. Åste Marie Bergseng Skullerud mfl., Personvernforordningen. Lovkommentar, Artikkel 28. Databehandler, Juridika.

(50) Valgte leverandør undertegnet på samme måte som klager den databehandleravtalen som fulgte konkurransegrunnlaget og som partene etter artikkel 28 i personvernforordningen plikter å inngå. Flere punkter i den underskrevne avtalen forplikter, i alle fall indirekte, valgte leverandør til å følge både norsk- og EU-lovgivning på området, jf. punkt 3 og 11 i avtalen.

(51) Videre viser klagenemnda til at formuleringene om at «HCL will not be processing any personal data» ikke gir direkte uttrykk for at valgte leverandør ikke vil behandle personopplysninger i henhold til personvernregelverket. Det fremgår for øvrig av konkurransegrunnlaget pkt. 8.3.4. at eventuelle slike forbehold og avvik må være klart og uttrykkelig angitt i eget bilag merket R, og at hvis det ikke er gjort, så kan ikke forbeholdet påberopes.

(52) Slik klagenemnda på denne bakgrunn tolker tilbudet, tyder det på at valgte leverandør ikke har forstått i hvilken grad deres befatning med personopplysninger under kontrakten, vil innebære en «behandling» av opplysningene i henhold til personvernregelverket. Samtidig fremkommer det flere steder i tilbudet at valgte leverandør vil behandle personopplysninger under kontrakten, og at gjeldende personvernregelverk vil overholdes. Tilbudet inneholder derfor motstridende opplysninger, men det er etter nemndas syn ikke naturlig å forstå uttalelsene som et forbehold mot å behandle personopplysninger i henhold til regelverket. Tvert om mener nemnda den mest naturlige objektive tolkningen av valgte leverandørs tilbud på grunnlag av konkurransegrunnlaget og regelverket om behandling av personopplysninger, tilsier at det ikke var tatt noe

forbehold, men at det forelå en uklarhet gjennom noen motstridende formuleringer i tilbudet. Denne uklarheten var det adgang til å avklare etter forskriften § 19-5 (1).

(53) Avklaringen som ble foretatt, besto av at oppdragsgiver ba leverandøren bekrefte at de nevnte formuleringene ikke var et forbehold mot å behandle personopplysninger i henhold til relevant regelverk. Klagenemnda kan ikke se at avklaringen gjorde at nye opplysninger ble tilført tilbudet, eller at innholdet i tilbudet ble endret på en måte som gjorde at det i realiteten ble inngitt et nytt tilbud. Klagenemnda kan heller ikke se at det er i strid med regelverket at innklagede ba leverandøren bekrefte at innklagedes tolkning av tilbudet var korrekt. Nemnda er, som det fremgår ovenfor, enig med innklagede i at det forelå objektive holdepunkter for innklagedes tolkningsalternativ, siden det etter nemndas syn er den mest naturlige tolkningen. Avklaringen medførte dermed ikke en forbedring av tilbudet, jf. § 19-5 (2).

(54) Klager har også anført at avklaringen er ulovlig på grunn av at den ble gjennomført etter at kontrakt var tildelt.

(55) Klagenemnda har i tidligere saker lagt til grunn at det er adgang til å foreta avklaringer etter tildelingsbeslutningen for å rette feil ved tildelingsbeslutningen. Slike avklaringer må imidlertid ikke være i strid med kravet til gjennomsiktighet og likebehandling, se klagenemndas avgjørelse i sak 2020/254.

(56) Klagers anførsel om at valgte leverandørs tilbud må avvises fordi det inneholdt en vesentlig mangel på grunn av formuleringene om at valget leverandør ikke ville behandle persondata, fører etter dette ikke frem, jf. forsyningsforskriften § 20-8 (1) bokstav b.

(57) Klager har også anført at innklagede hadde plikt til å avvise tilbudet etter forsyningsforskriften § 20-8 (1) a, fordi forbeholdet fra valgte leverandør om ikke å ville behandle persondata, var så vesentlig at tilbudet av den grunn ikke kunne anses bindende.

(58) Klagenemnda er ikke enig i det, og viser i til det som fremgår ovenfor vedrørende anførselen om at tilbudet inneholdt et vesentlig avvik, jf. forsyningsforskriften § 20-8 (1) b.

(59) Når det gjelder spørsmålet om valgte leverandørs forbehold om ansvarsbegrensning utgjør et vesentlig avvik etter forsyningsforskriften § 20-8 (1) bokstav b, har klagenemnda delt seg i et flertall og et mindretall.

(60) Flertallet, bestående av nemndsmedlemmene Bekkedal og Fagervold, viser til at ansvaret overfor tredjeparter følger av personvernforordningen artikkel 82 og er ubegrenset. Ansvarsgrunnlaget for et eventuelt regresskrav, fremgår av avtalen mellom innklagede og valgte leverandør. Slik saken er opplyst for klagenemnda, synes både innklagede, valgte leverandør og klager, å tolke avtalen slik at innklagede kan kreve regress hos valgte leverandør dersom man har utbetalt erstatning til en tredjepart i henhold til personvernforordningen artikkel 82. Flertallet legger partenes forståelse av avtalen til grunn i den videre drøftelsen.

(61) Valgte leverandør tok forbehold om å innta en egen bestemmelse i SSA-D, der deres del av erstatningsansvaret ble begrenset til maksimalt 150 millioner kroner. Forbeholdet utgjør dermed et avvik mot anskaffelsesdokumentene, og spørsmålet er om avviket er vesentlig.

(62) Ved vurderingen av om et avvik er vesentlig, må det sees hen til om avviket forrykker konkurransen mellom leverandørene, jf. LA-2011-100800. Det følger videre av EUdomstolens sak C-243/89 (Storebælt) at forbehold som forskyver risiko fra leverandør til oppdragsgiver, som en klar hovedregel skal anses vesentlige. Dette gjelder likevel ikke dersom konkrete faktiske forhold gjør at avviket ikke er vesentlig, eksempelvis fordi risikoforskyvningen ikke har noen reell økonomisk betydning. Det må derfor gjøres en konkret vurdering av de faktiske forholdene i saken, se klagenemndas avgjørelse i sak 2018/20, 2018/142 og 2020/641.

(63) Det gjeldende personvernregelverket og erstatningsregimet under GDPR er relativt nytt og under stor utvikling. Rettstilstanden er dermed slik at både personers adgang til å fremme søksmål og en eventuell størrelse på erstatningskravene er uklar. Det er dermed utfordrende å vurdere om en risikoforskyvning fra leverandøren til oppdragsgiver har en reell økonomisk verdi. Ved langvarige kontrakter, som den aktuelle, må det i lys av dette antas at det kun er en begrenset adgang til å akseptere en risikoforskyvning, da det vil være utfordrende å vurdere om de faktiske forholdene tilsier at et slikt forbehold likevel ikke er vesentlig, jf. hovedregelen slik den fremgår av Storebælt-avgjørelsen.

(64) Et forbehold om å endre et potensielt ubegrenset ansvar til 150 millioner kroner, er objektivt sett et avvik som kan fremstå betydelig, og som potensielt kan innebære en viss risikoforskyvning. Det at valgte leverandør uttrykkelig fastholdt en ansvarsbegrensning selv etter at innklagede ba om at forbeholdet ble revidert, tilsier at valgte leverandør selv vurderte at begrensningen kunne få reell økonomisk betydning.

(65) I den konkrete sammenhengen fremstår rammen på 150 millioner kroner som svært romslig, særlig i betraktning av hvilke typer personopplysninger innklagede behandler, og praksis for utmåling av erstatningsbeløp i norsk rett. I tråd med dette, har innklagede vurdert det slik at risikoen for at det kan oppstå erstatningsansvar overfor tredjepart der innklagede kan kreve mer enn 150 millioner kroner i regress hos driftsleverandøren, er en risiko som ikke har noen reell økonomisk verdi. Klager har på sin side ikke gitt noen indikasjoner på at risikoen for at ansvarsbetingende brudd på personvernreglene er et forhold som ble priset inn i selskapets tilbud, og i hvert fall ikke at det er priset inn risiko for utbetalinger som overstiger 150 millioner kroner. Klager har heller ikke på annen måte underbygget at forbeholdet utgjorde et konkurransefortrinn for valgte leverandør. Slik saken er opplyst, er det derfor ikke holdepunkter for at forbeholdet ga valgte leverandør en konkurransefordel sammenlignet med klager.

(66) Når det gjelder klagers innvendinger om at begrensningen fjerner deler av leverandørens insentiv til å overholde personvernregelverket, er flertallet ikke enig i dette. Det potensielle ansvaret er fortsatt betydelig. I tillegg er leverandøren underlagt en kontraktsrettslig forpliktelse til å følge regelverket – med tilhørende misligholdssanksjoner.

(67) Flertallet er etter dette, under noe tvil, kommet til at ansvarsbegrensningen ikke utgjør et vesentlig avvik.

(68) Mindretallet, bestående av nemndsmedlem Nyhus, tar utgangspunkt i at forbeholdet er helt generelt formulert og etter sin ordlyd gjelder ethvert tap som valgte leverandør måtte komme i etter personvernforordningen artikkel 82. Den begrensningen i ansvaret som det er tatt forbehold om, er imidlertid avtalt mellom partene, det vil si mellom en behandlingsansvarlig og en databehandler og gjelder ikke overfor tredjeparter. Men

personvernforordningen artikkel 82 nummer 5 regulerer også et eventuelt regresskrav fra innklagede overfor valgte leverandør, og det fremgår av juridisk teori at regressadgangen som er hjemlet i personvernforordningen, er å anse som preseptorisk, jf. Åste Marie Bergseng Skullerud mfl., Personvernforordningen. Lovkommentar, Artikkel 28. Databehandler, Juridika der det vises til at «bestemmelsens ordlyd er absolutt, og åpner ikke eksplisitt for at det kan gjøres unntak gjennom avtale mellom partene.» Det tilsier at partene ikke har rettslig adgang til å inngå avtale om en økonomisk begrensning i et eventuelt regresskrav.

(69) Uavhengig av synet på dette, er det for mindretallet sentralt at forbeholdet gjelder en viktig del av avtalen, nemlig sanksjoner ved mislighold. I tillegg kommer at en reduksjon i det økonomiske regressansvaret fra et helt ubegrenset ansvar til en begrensning på 150 millioner kroner i seg selv, objektivt vurdert, er et betydelig avvik. Det er også et moment at det ikke gjelder noen økonomisk begrensning i regressansvaret etter artikkel 82 i forordningen. Når det derfor er tatt et slikt i utgangspunktet vesentlig forbehold, legger mindretallet til grunn at det må være innklagede, og ikke klager, som må sannsynliggjøre at avviket i denne konkrete anskaffelsen likevel ikke er vesentlig.

(70) Mindretallet kan imidlertid ikke se at innklagede her har sannsynliggjort det. I den forbindelse er det for mindretallet ikke særlig relevant hvor stor sannsynlighet det er for at valgte leverandør kan komme i ansvar, siden både personvernforordningen og den konkrete avtalen bygger på at mulig ansvar kan inntre.

(71) Erstatningsregimet under GPDR er ellers, slik flertallet også viser til, relativt nytt og under utvikling, slik at det er vanskelig å vite hvilket nivå eventuelle regresskrav kan komme opp i. Den økonomiske usikkerheten det innebærer, er imidlertid etter mindretallets syn mer et argument for at et begrenset økonomisk ansvar på 150 millioner kroner kan ha reell betydning, enn at det ikke kan ha det. Mindretallet legger ellers noe vekt på at valgte leverandør fastholdt en ansvarsbegrensningsklausul selv etter at innklagede ba valgte leverandør revidere forbeholdet. Det tyder på at valgte leverandør har ment at begrensningen har en viss reell økonomisk betydning selv om ansvarsbegrensning ble økt fra opprinnelig 100 til 150 millioner kroner.

(72) Mindretallet er etter dette, men også under noe tvil, kommet til at avviket er vesentlig.

(73) Klagenemnda legger etter dette flertallets syn til grunn om at ansvarsbegrensningen ikke utgjør et vesentlig avvik. Innklagede brøt dermed ikke regelverket, ved ikke å avvise valgte leverandør.

Konklusjon: Vygruppen AS har ikke brutt regelverket for offentlige anskaffelser ved ikke å avvise valgte leverandørs tilbud.

For Klagenemnda for offentlige anskaffelser, Sverre Nyhus

────────────────────────────────────────────────────────────